Veränderte Arbeitsbedingungen durch Covid haben zu einer starken Verbreitung  von Konferenz- und Videosoftware geführt. Auch an Schulen wurde der Einsatz entsprechender Software für den Distanz-Unterricht nötig. Vielerorts hat man sich für das Videokonferenztool Microsoft Teams entschieden – doch Datenschützer warnen schon länger vor dessen Einsatz.

Im Zuge der Covid-Pandemie wurde der Präsenz-Unterricht an Schulen eingeschränkt und zeitweise ganz ausgesetzt. Das Lernen wurde notgedrungen ins virtuelle Klassenzimmer verlegt. Ein Sprung ins kalte Wasser für viele Bildungseinrichtungen, denn eine zuverlässige digitale Infrastruktur war fast nirgends vorhanden. Einheitliche Lösungen gab es von Anfang an nicht, vielmehr kamen eine Vielzahl an Kollaborations- und Kommunikationstools zum Einsatz.

So auch das Internetportal Mebis – ein Akronym für Medien, Bildung, Service – des bayerischen Kultusministeriums, das aber häufig durch Ausfälle von sich reden machte. Nutzer kritisierten regelmäßige Überlastungen zu Spitzenzeiten und Probleme beim Einloggen. Weil von offizieller Stelle keine zuverlässigen Lösungen angeboten werden konnten, setzten nicht wenige Schulen letztendlich auf bewährte Produkte von Microsoft.

Distanzunterricht mit Microsoft Teams

Mit Microsoft 365 stellt der Software-Riese aus den USA für diese Zwecke ein umfassendes Arbeitspaket aus klassischen Büroanwendungen – darunter bekannte Programme wie Word, Excel und Power-Point, verschiedenen Cloud-Diensten zur Verfügung. Über gestaffelte Raten-Pläne stehen die Dienste Privatanwendern, aber auch kleinen, mittelständischen und Großunternehmen, sowie Bildungseinrichtungen zu Verfügung. Wesentlicher Bestandteil der Pakete ist Microsoft Teams, eine Plattform über die in Chats oder Meetings kommuniziert werden kann, über die aber auch im Unterricht Dateianhänge ausgetauscht werden können.

Problem Drittstaatenübermittlung

Am Anfang stand erst einmal die Funktionalität der verwendeten Software im Vordergrund und man froh war, Schülern eine stabile Plattform für den Distanz-Unterricht bieten zu können, aber schon bald wurden Bedenken in Hinblick auf den Datenschutz laut. Speziell Microsoft Teams stand hier im Fokus. Denn auch wenn das Unternehmen mit transparenten Datenschutzkontrollen und Schutz vor unbefugtem Zugriff auf personenbezogene Daten wirbt, so bemängeln Kritiker, dass zu viele Daten erfasst und auf den Servern in den USA gespeichert würden. Diese Erfassung verstoße gegen die DSGVO. Einige Bundesländer beschlossen daraufhin Microsoft Teams komplett aus dem Schulalltag zu verbannen, Verträge wurden nicht über das Schuljahr 2020/2021 hinaus verlängert.

Alternative made in Germany

Geht es nach dem Kultusministerium wird in Bayern soll künftig  die Software Visavid der Firma Auctores GmbH, mit Sitz in Neumarkt in der Oberpfalz zum Einsatz kommen. Die Software sei zu „100 Prozent Made in Germany“ und biete eine hohes Sicherheitslevel und individuelle Anpassungsmöglichkeiten, wirbt der Hersteller.

Allerdings wurden auch bei Visavid bereits Schwachstellen gefunden, so soll es vorübergehend möglich gewesen sein, sich  unbemerkt in die Schalten einzuschleichen, dort Inhalte mitzuschneiden und auch zu teilen. Die Sicherheitslücke wurde mittlerweile geschlossen.

Nicht alle Nutzer für einen Umstieg

Es gibt aber nicht nur Kritik an Microsoft Teams. Denn eines steht fest: ein Umstieg auf eine andere Software ist fast immer auch mit Problemen oder zumindest Unannehmlichkeiten verbunden. Bereits bestehende Datensätze müssen auf die neue Plattform migriert werden und dort auch problemlos funktionieren. Das ist mit  einem nicht unerheblichen Aufwand verbunden. Außerdem müssen sich Nutzer, die sich mit einem Programm auseinandergesetzt, sich eingearbeitet und sich eine gewisse Routine in der Anwendung angeeignet haben, erst einmal umgewöhnen. Es ist also zu erwarten, dass es im neuen Schuljahr Anlaufschwierigkeiten geben wird, wenn eine neue Software eingesetzt werden soll.

Deshalb gibt es Petitionen wie die des Berufsschülers Pascal Braun, die mittlerweile mehr als 10.000 Menschen unterzeichnet haben . (Petition auf change.org) Seine Forderung: Microsoft Teams soll bleiben. Das sei für einen reibungslosen Schulalltag und eine angemessene Vorbereitung auf das Arbeitsleben von Nöten. Man könne Pseudonyme und kryptische Emailadressen verwenden, so würden keine Klarnamen oder personenbezogene Daten weitergegeben.

Weitreichende Datenerfassung – oder doch nicht?

Dabei stellt sich auch die Frage, wie die Datenschutz-Problematik bei der Verwendung von Microsoft Teams quantitativ und qualitativ zu bewerten ist. In sozialen Medien werden tagtäglich personenbezogene und oftmals sehr sensible Daten erfasst, gerade Jugendliche sind hier gefährdet und oft nicht genug sensibilisiert. Aus den Daten lassen sich komplexe Persönlichkeits-Profile erstellen, die dann vielseitig und gewinnbringend weiterverwendet und auch weiterveräußert werden können. Microsoft hingegen dürfte als Hard- und Softwareentwickler die erfassten Daten hauptsächlich an der Weiterentwicklung und Verbesserung der eigenen Produkte einfließen lassen.

Doch ein Argument lässt sich scher entkräften: während die private Nutzung von Social-Media Plattformen die freiwillige Entscheidung eines jeden Einzelnen ist, werden Schüler, Eltern und Lehrer durch die Entscheidung der Schule oder Schulbehörde  praktisch verpflichtet, über entsprechende Softwarelösungen am Distanzunterricht teilzunehmen.

Datenschutz vs. Bildungsauftrag

Aktuell ist es Sache der Länder, mit welchen Lösungen künftig gearbeitet werden soll. In Bayern wurde bereits im Frühjahr angekündigt, dass der Lizenzvertrag mit Microsoft mit Ende des Schuljahres 2020/2021 nicht mehr verlängert werde. Nach jetzigem Stand kommt an bayerischen Schulen künftig Visavid zum Einsatz. Der DSGVO-konforme Einsatz sollte dann gewährleistet sein, auch wenn die Software in Sachen Funktionsumfang dem ausgereiften Microsoft-Paket hinterherhinkt. Inwieweit die Software auch reibungslos funktioniert, wird sich zeigen – sofern im neuen Schuljahr überhaupt Distanzunterricht erforderlich sein wird.

Am 20. Mai 2021 wurde das neue Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (kurz TTDSG) verabschiedet. Es wird ab dem 1.12.2021 in Kraft treten. Ein wichtiger Bestandteil dieses Gesetzes betrifft die Neuregelung über die Verwendung von Cookies, die im Paragrafen 25 festgelegt worden ist.

Was ist neu und muss künftig beachtet werden?

Zum Schutz der Privatsphäre der Nutzer von Endeinrichtungen können Cookies zukünftig grundsätzlich nur nach vorheriger Einwilligung verwendet werden. Darüber ist der jeweilige Nutzer im Vorfeld klar und umfassend zu informieren.

Ausnahmen von dieser Regelung gelten hauptsächlich für technisch notwendige Cookies. Zu diesen Ausnahmen gehören:

• Cookies, die notwendig sind, um die Durchführung von Datenübertragung in einem öffentlichen Telekommunikationsnetz zu gewährleisten.
• Cookies, die notwendig sind, um Daten für einen Telemediendienst zu übermitteln, dem der Nutzer bereits zugestimmt hat.

Damit soll gewährleistet werden, dass Tracking- oder Werbecookies nur nach vorheriger Information und Einwilligung des Endnutzers verwendet werden dürfen.

Hohe Bußgelder drohen bei ordnungswidrigem Verhalten

Das Speichern von Informationen in Form von Cookies ohne Information und Einwilligung ist eine Ordnungswidrigkeit. Dabei ist es unerheblich, ob der Vorgang vorsätzlich oder fahrlässig erfolgt. Je nach Umfang und Schwere des Vergehens gibt es Bußgelder in unterschiedlicher Höhe in den Staffelungen:

• Bis zu Euro 10.000
• Bis zu Euro 50.000
• Bis zu Euro 100.000
• Bis zu Euro 300.000

Das neue Gesetz sieht zusätzlich vor, dass der Browser des Endnutzers die von ihm vorgenommenen Einstellungen bezüglich der Nutzung von Cookies zu beachten hat.

Welche Voraussetzungen gelten für Dienste zur Einwilligungsverwaltung von Cookies?

Der Gesetzgeber stellt hohe Ansprüche an die Verwalter von Cookie Einwilligungen:

• Nutzerfreundliche und wettbewerbskonforme Verfahren
• Technische Voraussetzungen für die Einholung und Verwaltung von Einwilligungen
• Kein wirtschaftliches Eigeninteresse an der Datenerfassung
• Unabhängigkeit von kommerziellen Unternehmen
• Keine weitere Nutzung der gespeicherten Daten
• Sicherheitskonzept bezüglich aller Erfordernisse des Datenschutzes
• Hohe Qualitätsstandards in Bezug auf Zuverlässigkeit

Exakte Vorgaben für die Einwilligungsverwaltungsdienste werden noch bis zum Inkrafttreten des Gesetzes am 1.12.2021 in einer Rechtsverordnung festgelegt.

Mit den aktuellen Updates seiner mobilen Betriebssysteme will Apple die Daten seiner Nutzer besser schützen und ihnen einfache Kontrollmechanismen über die Weiterverarbeitung ihrer persönlichen Daten an die Hand geben. Zur Freude vieler User und zum Ärger großer Online-Konzerne.

Im Fokus steht dabei das so genannte Tracking, also das seiten- oder appübergreifende Sammeln von Nutzerdaten. Dabei kann eine Flut von Informationen gesammelt und zu Profilen zusammengeführt werden, die wiederum gezielte Werbeeinspielungen ermöglichen. Damit lässt sich viel Geld verdienen und der Handel mit Nutzerdaten ist ein äußerst profitables Geschäft.

Dem schiebt Apple zunehmend einen Riegel vor, ab einem Update auf das Betriebssystem iOS 14.5 können Nutzer selbst entscheiden, ob Apps sie zu Marketing- und Werbezwecken verfolgen dürfen. Apps müssen seitdem beim Nutzer anfragen, ob dieser dem Tracking zustimmt. In den Einstellungen können Regeln für verschiedene Apps individuell festgelegt und verwaltet, oder das Tracking generell deaktiviert werden – dann wird jede Anfrage einer App automatisch abgelehnt.

Firmen und Werbebranche in Aufruhr

Dabei ist zu erwarten, dass sich wohl nur wenige Nutzer aktiv für das Freigeben ihrer Daten  entscheiden werden und sich zudem die Mühe machen, in den Datenschutz-Einstellungen ihres iPhones  Einzelfallregelungen für bestimmte Applikationen zu erstellen. Viel wahrscheinlicher ist es, dass sie das Tracking einfach komplett unterbinden. Und in Anbetracht wegbrechender Einnahmen gibt es schnell Kritik an Apples Strategie. Von unfairem Wettbewerb ist dabei die Rede. Apple wolle kostenlose und durch Werbung finanzierte Apps vom Markt verdrängen, Nutzern blieben dann nur kostenpflichtigen Apps, an denen Apple durch den Verlauf im App-Store mitverdiene. Zudem kritisieren Verbände, dass Apple selbst weiterhin Nutzerdaten sammle, während Wettbewerber an der kommerziellen Verarbeitung der Nutzerdaten gehindert werden. Als Folge dieser Entwicklung haben in Deutschland acht Verbände der Medien- und Werbewirtschaft Beschwerde beim Bundeskartellamt  , das Verfahren ist bereits eingeleitet.

Datenschutz als zentrales Thema

Apple widerspricht den Anschuldigungen und zeigt sich unbeeindruckt vom starken Gegenwind.  „Wir von Apple glauben, dass Datenschutz ein Grundrecht ist“ verkündet Softwareentwickler Craig Federighi am 7. Juni 2021 auf der WWDC21, der World Wide Developers Conference. Ähnliche Formulierungen finden sich auf der Webseite des Konzerns, wo vom Datenschutz als „Kernwert“ die Rede ist.

Aber woher kommt nun Apples demonstrative Liebe zum Datenschutz? Kritiker sehen neben den möglichen Einnahmen über den App-Store auch weitergehende finanzielle Interessen. Denn Apples Business ist der Verkauf hochpreisiger Hardware und die Message an die Nutzer mobiler Endgeräte ist mehr als deutlich: auf unseren Geräten sind Ihre Daten vor fremdem Zugriff geschützt. In Zeiten eines zunehmenden Sicherheitsbewusstseins könnte das viele Nutzer, denen Apples Hardware bisher zu teuer war, dazu bewegen, künftig doch die Premiumpreise des Unternehmens aus Cupertino zu bezahlen. Zumal die weitaus günstigere Konkurrenz Apple hier  noch hinterher hinkt und bislang wenig Interesse zeigte, das Thema Datenschutz offensiv in den Fokus zu rücken. Zwar sollen bei Android bis Ende des Jahres ebenfalls neue Datenschutz-Maßnahmen umgesetzt werden, allerdings müssen Nutzer dem Tracking hier durch einen Opt-Out aktiv widersprechen, was weitaus geringere Ablehnungsraten als bei einem Opt-In erwarten lässt.

Datenschutz als Grundrecht – aber auch für alle?

Das mehr oder weniger in sich geschlossenes System gilt in der allgemeinen Wahrnehmung seit jeher als sicher, über den App-Store können nur durch Apple geprüfte und zertifizierte Applikationen installiert werden. Viren und Angriffe durch Schadsoftware waren für Apple-Betriebssysteme lange kein Thema. Und so setzte jeder, der besonderen Wert auf Sicherheit legte, auf die Produkte aus Cupertino .

Aber der Mythos vom sicheren Apfel fängt auch an zu bröckeln und Apples Glaubwürdigkeit steht zunehmend auf dem Prüfstand. Laut Recherchen der New York Times soll Apple Schutz der Daten chinesischer Nutzer durchaus Kompromisse eingegangen sein. China ist nicht nur ein riesiger Markt für Apple, sondern auch wichtigster Fertigungspartner. Gewisse Abhängigkeiten sind nicht zu leugnen und die chinesische Führung stellt zunehmend Forderungen. So sollen Server mit Nutzerdaten unter der Kontrolle chinesischer Firmen stehen, moderne Verschlüsselungstechniken nicht zum Einsatz kommen und unliebsame Anwendungen im App-Store zensiert werden.

Apple erwidert auf entsprechende Vorwürfe, man halte sich an die in China geltenden Gesetze und unternehme alles, um die Daten der Nutzer zu schützen.

Neue Kräfteverteilung?

Den Nutzern hierzulande dürfte das die Freude an den neuen Datenschutz-Features wohl nur bedingt verderben. Und für Apple könnte sich die verstärkte Ausrichtung auf den Datenschutz durchaus lohnen. Konkurrent Android beherrscht aktuell den Markt, könnte aber Nutzer verlieren, wenn nicht bald ähnliche Lösungen folgen. Und durch die enge Verknüpfung von Android mit Google Diensten würden verschärfte Datenschutzrichtlinien wohl auch mit einer Kannibalisierung der eigenen Einnahmen durch personalisierte Werbung einhergehen. Für die Verantwortlichen nicht gerade ein großer Anreiz schnell aktiv zu werden. Und so könnte sich Apples neue Liebe zum Datenschutz durchaus auf die Kräfteverteilung auf dem Mobilfunkmarkt auswirken.

Gesicherte Systemumgebung / Technische Anforderungen

Nutzen Sie ausschließlich die gesicherte Systemumg Ihres Unternehmens. Die Anforderungen richten sich technisch nach dem IT Grundschutz Kompendium:

Wichtig ist vor allem ein gesicherter VPN Zugang zum Firmennetzwerk und eine verschlüsselte Festplatte. Weiterhin gehört eine Zwei-Faktor
Authentifizierzung zum gesetzlichen Standard. Eine vollständige Übersicht zu allen technischen Anforderungen finden Sie am Ende dieser Checkliste.

Hier finden Sie den kompletten Newsletterartikel im PDF Format.

Technische Details

Alle technischen Details für eine korrekte technische Umsetzung der gesetzlichen Anforderungen finden Sie unter den nachfolgenden Links:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_2_4_Telearbeit.html

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/INF/INF_9_Mobiler_Arbeitsplatz.html

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/INF/INF_8_H%C3%A4uslicher_Arbeitsplatz.html 

Bereits im vergangenen Jahr hat der Europäische Gerichtshof EuGH in der Rechtssache Planet49 entschieden, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung des Internetnutzers bedarf. Ein unveränderte, vorbelegte Auswahlfelder zu Cookies ist nach diesem Urteil also nicht zulässig.

Gegenstand der Entscheidung war die Frage, unter welchen Voraussetzungen Internetanbieter Cookies auf den Endgeräten ihrer Nutzer platzieren können. In diesem Zusammenhang stellte der EuGH fest, dass eine wirksame datenschutzrechtliche Einwilligung in diesem Kontext auch im Internet ein aktives Verhalten des Betroffenen voraussetzt. Dieses müsse sich zudem konkret auf die Einwilligung beziehen. Nicht ausreichend sei hingegen die Bestätigung eines vorausgewählten Ankreuzkästchens durch Anklicken einer anderweitigen Schaltfläche, etwa zur Teilnahme an einem Gewinnspiel.

Zudem hat der EuGH klargestellt, dass der Websitebetreiber dem Nutzer klare und umfassende Informationen bereitstellen muss, damit die Einwilligung wirksam erteilt werden kann. Hierzu gehören auch die Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können. 

Hier finden Sie den kompletten Newsletterartikel im PDF Format.

Fundstellen:
https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868
https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf